Det er sent en fredag aften på kontoret, da du får en besked fra den administrerende direktør i din indbakke med overskriften "Hasteoverførsel nødvendig hurtigst muligt!" Hvad gør du?
Det er et scenarie, som mange mennesker i den moderne digitale verden er ved at blive mere og mere fortrolige med. Desværre mærkes biddet af phishing-angreb i hele Storbritannien og globalt, og i 2016 var der en massiv stigning på 65 %. Dette efterlader mange organisationer, der står over for et stigende pres for at beskytte og uddanne deres medarbejdere ordentligt i forhold til disse trusler. Hvad består en phishing-e-mail af? Nedenfor er der nogle tips skrevet ud fra en hackers perspektiv "MataHacky's Guide" om, hvordan man kan spotte Phish-mails og bide tilbage!
#1 Det er ok at holde det generelt..men hvis du er en rigtig professionel Spear Phish!
Når du starter og henvender dig til flere personer på én gang, er det ok at holde navngivningen generel, da vi kun leder efter en enkelt person, der vil bide på krogen. For eksempel er "Kære kunde" nok til at åbne med og vil ofte blive overset af et intetanende fjols, der er på farten med deres travle liv. Mange af dem vil ikke engang sætte spørgsmålstegn ved, at e-mailen ikke er personlig, og at du ikke henvender dig til dem ved navn. Det er dog vigtigt at bemærke, at efterhånden som bevidstheden øges, vil flere og flere mennesker begynde at betragte denne generalisering som en trusselsdetektor. Dette fører os til det sted, hvor de rigtige penge ligger, og hvor spillet ændrer tempo - spear phishing! I bund og grund søger du at undersøge dit mål, finde ud af deres navn, arbejdsplads og endda deres chefs navn for at skabe en superoverbevisende personlig phish!
#2 Skab en følelse af uopsættelighed!
Dette er nøglen. Du skal indgyde frygt i publikum. Uden dette vil de måske se nærmere på de andre fejl i din e-mail, f.eks. stavefejl, og blive mere forsigtige. Som en hest ud af fælden skal du ind med det samme. Start med e-mailens emne " Urgent- mistænkelig aktivitet på din X-konto" er normalt en god måde at åbne og få deres opmærksomhed på. Husk at opretholde dette niveau af hastende karakter i hele e-mailen, og du er på vej til en vinder. Panik er nøglen til et godt phish. Tænk på, hvad der er mest værdifuldt, f.eks. oplysninger, der vil forårsage økonomisk ødelæggelse eller skabe skam for dit omdømme, sæt det i en situation med fare, og du vil helt sikkert få bid.
#3 Hold øje med din stavning og grammatik
Det er rigtigt, at hvis du overholder de andre punkter, jeg har nævnt, kan du slippe af sted med en enkelt stavefejl eller grammatisk fejl ... men du skal holde øje med antallet af stavefejl i din tekst. En eller to vil sandsynligvis gå ubemærket hen, men den super skarpe phishspotter vil ikke lade sig narre, så prøv at børste op på disse så godt som muligt. Når alt kommer til alt, vil enhver virkelig professionel virksomhed ikke have stavefejl i de e-mails, de sender til deres kunder.
På den anden side vil stavefejl hjælpe dig med at skabe den perfekte suckerliste. Jeg mener, hvis de falder for en phishing-e-mail fuld af stavefejl, hvad kan de så ellers falde for? Du kan endda dele disse suckers kontaktoplysninger med dine hackervenner, så de også kan målrette dem!
#4 Skab en virkelig overbevisende falsk e-mailadresse og links!
For at sikre, at disse fjolser vil tage imod lokkemaden og klikke på det link, du giver, skal du sørge for, at den e-mailadresse, du opererer fra, ser lovlig ud. Bare et enkelt tegn, der afviger fra den ægte vare, er normalt nok til at narre dem til at klikke på linket, men igen er folk ofte ikke opmærksomme på detaljer, så hvis de ser en e-mail fra "[email protected]", vil mange overse disse små fejl. Anvend den samme idé på dine links også! Få dem til at se så ægte ud som muligt, og du kan slippe af sted med bare en lille karakter her og der, der mangler eller er tilføjet. Spoofing er en kunst, så hvis du vil være en mester, må du hellere øve dig!
Husk, at 91 % af phishing-angreb fra virksomheder indeholder falske skærmnavne, 30 % bliver åbnet, og 12 % af fjolserne klikker på linket eller den vedhæftede fil, så dine chancer for at tjene hurtige penge er gode, hvis du holder dig til mine regler. Held og lykke!
Den gennemsnitlige medarbejder får mindst én risikabel e-mail om dagen, og det forventes, at e-mail fortsat vil være den primære målgruppe for de fleste angreb frem til 2020. I de seneste to år har bedrageriske links, der er sendt til virksomheders e-mail-konti, kostet virksomheder over to milliarder dollars, og 30 % af kunderne har flyttet deres forretning andre steder hen efter et brud.
Har du råd til at lade din organisation eller endda din personlige konto lide under et af disse angreb? Hvis svaret er nej, er du måske interesseret i vores e-learningkursus Essential Phishing Awareness, som dækker, hvordan du korrekt identificerer et phish-angreb, og hvad du skal gøre, når du opdager et. Dette kan også suppleres med vores phishing-simuleringssoftware "MetaPhish" for at hjælpe med at øge dine medarbejderes følsomhed over for svigagtige e-mails.
Den største cybersikkerhedsrisiko, som din virksomhed dagligt står over for, er medarbejdernes selvtilfredshed, og det er nu det rette tidspunkt at vende den. Tal med os i dag for at få flere oplysninger om, hvordan du kan redde din organisation fra et phishing-angreb.